Cambios del RGPD y las cookies de tu web del 31 de octubre, ¿A qué viene tanto revuelo?

¿De qué hablamos hoy?

Tengo que confesarte algo: todo este revuelo hablando de RGPD y cookies durante las últimas semanas me ha pillado un poco por sorpresa.

Sí, el 31 de octubre acababa el plazo que la Agencia Española de Protección de Datos nos había dado en relación a la publicación de su última guía de cookies.

¿En qué consistían esos cambios? 

Eso te lo cuento luego, porque primero quiero contarte una historia 100% real.

cambios-rgpd-cookies-31-octubre

¡Manda cookies la historia!

Te pongo en situación: es martes 28 de octubre y son las 19:13h de la tarde. Miro el móvil y veo que tengo 2 llamadas perdidas de un cliente. 

A esas horas (y a casi cualquiera, realmente), la línea de trabajo está silenciada, así que no lo cogí.

Reviso el correo y también tengo un mail suyo que dice (textualmente):

  • Santiago, llámame cuando puedas porque tenemos un tema urgente.

Es un buen cliente, de los que no pecan de “urgentitis”. Así que, aprovechando que voy en el coche (de copiloto), le devuelvo la llamada.

  • Hola, X. ¿Qué ha pasado?
  • Vale, te cuento… resulta que han cambiado la ley de cookies y tenemos que hacer cosas antes del sábado y se acaba el mundo (igual esto no lo dijo 100% así, pero casi).
  • Sí, bueno, aunque el RGPD lleva desde 2016
  • ¡31 de octubre!
  • Que sí, pero que hace 9 meses cuando empezamos a trabajar ya os comenté que…
  • ¡31 de octubre!
  • De verdad, relax. Lleváis dos años ignorando por completo el RGPD y la normativa, ahora no nos agobiemos por intentar implementarlo en 3 días. Mañana nos reunimos y os cuento la situación.

Esto, que podría ser una (poco) divertida anécdota de martes en realidad fue un ejemplo más de las múltiples llamadas, mensajes, Telegrams, presupuestos, etc que hemos estado recibiendo en las últimas 2-3 semanas.

Muchos clientes (y futuros clientes) preocupados por los cambios en sus cookies, en adaptarlo todo deprisa y corriendo y “madre mía que el 31 de octubre ya está aquí”.

Días de locura, de verdad. Y sensaciones encontradas

¿Qué piensas del RGPD, Santiago?

Aquí es donde llega mi dicotomía:

  • Por un lado, me hace feliz que se hable de RGPD y que los administradores de sitios web empiecen a concienciarse cada vez más de la importancia de la privacidad de los usuarios. Siempre he dicho que nos olvidamos del RGPD en 3 meses (aunque él no se olvidó de nosotros nunca) y por suerte poco a poco se va cambiando esto.
  • Por otro, me enfada ver que todo esto es fruto (como casi siempre) de falta de interés y previsión; porque, como nos olvidamos del RGPD en 3 meses, llevamos ignorando esto desde hace años.

Para el carro, Santiago. ¿No has dicho que el plazo de la Agencia Española de Protección de Datos acababa el 31 de octubre?

Correcto, eso he dicho. Peeeeero (sí, siempre hay un pero) deberíamos saltar al siguiente punto importante.

¿Qué cambios se aplicaron en el RGPD en relación a las cookies el 31 de octubre?

Ojito que aquí salta la sorpresa.

¿Qué cambios ha habido en la (mal llamada) ley de cookies?

Ninguno.

¿Cómo?

Ninguno. Nada reseñable. No hay cambios en el Reglamento General de Protección de Datos.

¿Entonces, qué ha pasado? Sencillamente, una puntualización a nivel europeo y un cambio de criterio en la aplicación del reglamento desde la AEPD.

Para aclarar este asunto, te hago una breve cronología de los hechos.

Cronología del RGPD en España

Empecemos por el principio. Año 2018.

(Si eres un poco purista me dirás, con razón, que todo esto empezó en 2016. Pero tampoco nos vamos a remontar tanto, que ahí sí que casi no le hacía caso ni yo al RGPD).

25 mayo 2018: puesta de largo del RGPD

Podríamos llamar al 25 de mayo de 2018 “el día de la revolución de las cookies”.

Punto álgido del interés que nos generó el RGPD en España, según Google Trends:

interés RGPD. Fuente: Google Trends
Aquí se ve perfecto lo que digo de los 3 meses de interés en el tema 😀

Desde ese día entró en vigor el Reglamento General de Protección de Datos. Y, con él, todas las nuevas normativas relacionadas con privacidad y datos que tan bien cuenta Marina en su blog y que también contamos por aquí.

(Antes ya teníamos la LOPD y la LSSI con sus asuntos propios. Pero no me quiero ir por las ramas).

RGPD hasta noviembre de 2019

En aquel momento nos tocó adaptar todas nuestras webs a la normativa. Y la parte de cookies era la más complicada:

  • Había que bloquear las cookies hasta obtener el consentimiento.
  • Debía permitir que el usuario rechazara las cookies.
  • Teníamos que mostrar una información clara

SPOILER: el 99% pasó del tema. Los motivos son diversos y no me extenderé con ello.

Noviembre 2019: nueva guía de cookies

Llega noviembre de 2019 y la Agencia Española de Protección de Datos publica una guía de adaptación de cookies (también llamado librito de cookies para los que no queremos leernos la ley).

En esta guía, nos cuentan una cosa relevante:

  • La opción de seguir navegando (hacer scroll) o interactuar con la web (clic en un menú, por ejemplo) pasaba a ser una forma de aceptación válida.

Casi nadie entendió este movimiento de la AEPD (sospecho que fueron “asesorados” con un ojo en intereses publicitarios) y se generaron dos posiciones:

  • Escépticos (como Marina y otros profesionales en protección de datos) que dudaban de este movimiento y seguían sin recomendarlo.
  • Otros (como yo), que abrazamos el cambio y lo implementamos en algunas páginas web.

Sí, tengo que reconocer que no le veía mucho sentido a este cambio de rumbo, pero el volumen de datos que se perdía era mucho menor que con el botón de aceptar.

Y el cambio técnico de uno a otro método era mínimo (este detalle es muy muy importante, luego verás el porqué).

Mayo de 2020: tirón de orejas

Se viene el drama. A nivel europeo, alguien decide que igual el texto del reglamento puede llevar a equívoco y hace un par de matizaciones:

  • Necesitamos un consentimiento explícito y claro del usuario.
  • Jamás se considerarán como explícitas fórmulas del tipo “scroll” o “seguir navegando”.

En realidad, ningún país había seguido la corriente de España considerando válida la aceptación por scroll. Así que la AEPD se quedó un poco sola.

Julio de 2020: (otra vez) nueva guía de cookies

Con el tirón de orejas ya dado desde Europa, era cuestión de días (que fueron meses) que la AEPD actuara.

Llega el 28 de julio y publican una nueva guía de cookies en la que nos muestran cuáles son las formas válidas de aceptación.

Y, obviamente, se ciñen al criterio europeo y se especifica que solo la fórmula con un botón claro para aceptar se considerará válido.

¿Hay cambios en la ley? No. Lo único que ha habido es un cambio de criterio en la forma de considerar la norma

De hecho, lo que hace es volver al criterio original.

¿Y de verdad no hay más cambios de RGPD y cookies?

Venga, voy a ser honesto contigo: hay 2 matizaciones adicionales en la guía:

  • Se prohíben expresamente los muros de cookies que impidan al usuario acceder al contenido si no han aceptado las cookies.
  • Debemos mostrar las cookies de la manera más granular posible, para que el usuario de manera clara pueda decidir qué cookies acepta y cuáles no al acceder a la web. Ya sabes, el típico panel en el que marcas y eliges entre cookies obligatorias, analíticas y publicitarias, por ejemplo.

Esto, que parece superimportante (porque lo es), tampoco es nuevo y ya se hablaba de ello en la norma original.

Tal vez no con esas palabras exactas, pero te aseguro que ya estaba desde 2018.

Entonces, ¿por qué las prisas?

Esa es mi gran duda.

Primero, porque del 28 de julio al 31 de octubre hemos tenido mucho tiempo… y lo hemos vuelto a dejar para el último día.

Segundo, porque con los cambios de la guía en la mano, había 3 tipos de webs:

  • Las que ya estaban adaptadas con su hermoso botón de aceptar.
  • Las que, estando adaptadas, pusieron la aceptación “con scroll”.
  • Las que no cumplían esta norma (ni ninguna).

Las primeras siguen viviendo felices y sin cambios.

El cambio para las segundas, si realmente estaban bien adaptadas, era cuestión de minutos, ya que todas las herramientas “decentes” permiten hacer el cambio a golpe de clic prácticamente.

El cambio para las terceras será dramático… ¡Pero llevaban 2 años ignorando el RGPD! Lo peor que puedes hacer en ese escenario, además, es hacerlo con prisas.

No estoy invitando a que sigan incumpliendo la ley, solo llamo a la calma para que se haga la adaptación de manera correcta.

¿Y todo esto no lo puede hacer el navegador?

Gran pregunta. Muchas veces se ha debatido sobre si la gestión de cookies no debería delegarse en el navegador en lugar de ser una obligación del administrador de la web.

Respuesta corta: NO, ya que muchos usuarios aún utilizan navegadores antiguos y no podemos tener el control sobre ellos (ni obligarles a actualizar).

Sin embargo, la AEPD abre la puerta a que en el futuro esto sí pueda hacerse así, siempre que el navegador facilite algún mecanismo de control al administrador de la web.

De ese modo, los desarrolladores podremos leer esa información de preferencias del navegador y, solo en el caso de que no exista (navegador antiguo), mostraríamos el banner.

No voy a meterme en esto, que bastante me estoy alargando ya y aún le queda recorrido al tema para ser real. Si te interesa, cuéntame en los comentarios y preparamos un especial sobre ello.

Cómo superar los cambios de cookies en tus páginas web (receta de éxito casi asegurado)

Madre mía, lo que hablo.

Para no liarte más, voy a recapitular cómo debería ser en noviembre de 2020 tu banner de cookies:

  1. Muestra la información clara para los usuarios.
  2. Permite aceptar y rechazar las cookies de manera sencilla.
  3. No impide la navegación en caso de ser rechazadas.
  4. Si procede, permite al usuario elegir la configuración y preferencias sobre qué tipos de cookies quiere aceptar.

Por desgracia, no existen (aún) plugins ni herramientas mágicas para implementar esto (la semana que viene te contaré que debería tener el plugin de cookies perfecto para nosotros).

Pero sí hay una serie de pasos clave que deberíamos tener todos bien claros:

  • Conocer al detalle qué herramientas usamos en nuestra web y cuáles de ellas usan cookies (y para qué).
  • Darle la vuelta a todo esto del RGPD y dejar de pensarlo como normas, leyes y multas: lo que importa aquí es la privacidad de nuestros usuarios.
  • Informarnos y dejarnos asesorar por profesionales sobre las mejores soluciones para llevarlo a cabo.
  • Dejar de protestar y ejecutar un plan de acción: sin atajos y sin hacerlo apresuradamente.

Y hasta aquí mis reflexiones sobre estos últimos “cambios” en la normativa sobre cookies y RGPD.

¡Ah! Y si quieres formarte con nosotros y aprender cómo hacer paso a paso todo esto con éxito, échale un vistazo a nuestro curso de RGPD para WordPress (orientado a implementadores y desarrolladores web) o a Digitaliza RGPD, para profesionales de protección de datos que busquen dar un salto online.

¡Nos vemos en la próxima!

15 respuestas

    1. Gracias, Sofía!

      Totalmente de acuerdo. Se ha revolucionado todo cuando en realidad la gente ya llevaba años pasando del tema jajaja.

      Un abrazo y gracias por comentar!

  1. Fenomenal el artículo 👍🏼
    Yo tengo la duda sobre Analytics. He leído algún artículo que indica que si anonimizas la ip en Analytics y configuras la cuenta Para que no comparta datos con nadie no hace falta dar la opción de bloquear y se deja funcionar como si nada, tú cómo lo ves?

    Gracias y a seguir con el blog que está fenomenal

    1. Gracias, Roger!

      Uffff, buen melón has abierto jajaja. Sí, yo también he leído varios de esos artículos… pero yo no termino de fiarme, la verdad.

      Es algo sobre lo que quiero profundizar a intentar sacar algo en claro. ¿Lo conseguiremos? Te mantendré informado jajaja

      Un saludo y gracias por tu comentario 😉

  2. Buenas tardes Santiago.

    Tengo una tienda online con Prestashop y he adquirido un módulo para que el usuario pueda gestionar las cookies según la normativa actual. Pero tengo una duda, y es con las cookies de google analytics. Actualmente no se graba la cookie a no ser que el usuario haga click en el botón de ACEPTAR expresamente. Esto provoca que muchos usuarios siguen navegando sin darle a ACEPTAR y esa visita no me sale reflejada en Google Analytics, y claro me han bajado las visitas “aunque no es verdad” desde que he implementado esto. Hay alguna solución a eso?

    Muchas gracias,

    1. Hola, Marcos! Gracias por leer y comentar.

      Sí, eso es algo que ocurre siempre. Una manera de minimizar ese “impacto” es hacer el banner muy llamativo (normalmente hacemos justo lo contrario) para que el usuario lo vea y acepte.

      Te recomiendo echar un vistazo a este artículo también, en relación a esos datos que perdemos: https://tecnicorgpd.com/blog/experimento/

      Un saludo!

  3. Hola Santiago,

    Excelente entrada.
    Al menos a ti te hacen caso y te llegan clientes, porque lo que es a mí, me ignoran olímpicamente. Debe ser que en Canarias lo de las cookies es como un deporte de riesgo y a las empresas les va el dopaminarse.
    No está bien que lo diga pero, honestamente, me gustaría que alguna de ellas tuviera un escarmiento.

    ¡Un saludo!

    1. jajajaja. Gracias, Carmen!

      Sí, no era tanto el drama.

      Los que ya eran legales, la adaptación es mínima. Los que aún eran ilegales… tampoco es momento ahora de rasgarse las vestiduras jajajaja

      Un saludo!

  4. Espectacular post. A ver si los implicados en el gremio (desarrolladores, diseñadores web y clientes) empiezan a tomárselo en serio…

    Enhorabuena, Santiago.

    ¡Un saludo!

      1. Otra duda. Dices que hay que permitir que el usuario rechace las cookies. Esto está perfecto. La pregunta legal es: ¿debe estar habilitado el botón de rechazar en el banner o puede estar dentro de la sección de ajustes?

        ¡Mil gracias!

        1. Hola, Marcos!

          Según aparece en la guía de cookies de la AEPD, el segundo ejemplo muestra justo eso que dices: la acción de rechazar está en la segunda capa. En la primera solo tenemos los botones de aceptar todo y los ajustes.

          En mi opinión, eso es dificultar la acción al usuario (lo que va en contra del RGPD), pero parece que la AEPD no lo entiende así.

          Un saludo!

          1. Hola, Santiago.

            Gracias por la respuesta. Ahora entiendo muchas webs que no ponen el rechazar en su capa inicial. Si la AEPD lo permite en su reglamento imagino que NO están incumpliendo la manera que hay en España de entender la ley (otra cosa es que esté bien…)

            ¡Un saludo y, de nuevo, gracias!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

  • Responsable: SANTIAGO ALONSO POSADAS         
  • Finalidad: Moderar y responder comentarios de usuarios.
  • Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en este formulario  así como el derecho a presentar una reclamación ante una autoridad de control.
  • Información adicional: En la Política de Privacidad de Técnico RGPD encontrarás información adicional sobre la recopilación y el uso de su información personal por parte de Técnico RGPD, incluida información sobre acceso, conservación, rectificación, eliminación, seguridad y otros temas.

¿Quieres saber más?

Envíanos tu consulta y nos pondremos en contacto contigo lo antes posible 👇🏻👇🏻👇🏻

  • Responsable: SANTIAGO ALONSO POSADAS         
  • Finalidad: Enviarte novedades sobre el curso, productos ofrecidos y contenidos de interés
  • Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en este formulario  así como el derecho a presentar una reclamación ante una autoridad de control.
  • Información adicional: En la Política de Privacidad de Técnico RGPD encontrarás información adicional sobre la recopilación y el uso de su información personal por parte de Técnico RGPD, incluida información sobre acceso, conservación, rectificación, eliminación, seguridad y otros temas.